特洛伊木馬(以下簡稱木馬)，英文叫做“Trojanhouse”，其名稱取自希臘神話的特洛伊木馬記，它是一種基于遠程控制的黑客工具。在黑客進行的各種攻擊行為中，木馬都起到了開路先鋒的作用。下面由學習啦小編給你做出詳細的電腦木馬介紹!希望對你有幫助!

　　電腦木馬介紹：

　　一、木馬的危害

　　相信木馬對于眾多網(wǎng)民來說不算陌生。它是一種遠程控制工具，以簡便、易行、有效而深受廣大黑客青睞。一臺電腦一旦中上木馬，它就變成了一臺傀儡機，對方可以在你的電腦上上傳下載文件，偷窺你的私人文件，偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前，隱私?不復存在!

　　木馬在黑客入侵中也是一種不可缺少的工具。就在去年的10月28日，一個黑客入侵了美國微軟的門戶網(wǎng)站，而網(wǎng)站的一些內(nèi)部信息則是被一種叫做QAZ的木馬傳出去的。就是這小小的QAZ讓龐大的微軟丟盡了顏面!

　　廣大網(wǎng)民比較熟悉的木馬當數(shù)國產(chǎn)軟件冰河了。冰河是由黃鑫開發(fā)的免費軟件，冰河面世后，以它簡單的操作方法和強大的控制能力令人膽寒，可以說是達到了談“冰”色變的地步。

　　二、木馬原理

　　特洛伊木馬屬于客戶/服務模式。它分為兩大部分，即客戶端和服務端。其原理是一臺主機提供服務(服務器)，另一臺主機接受服務(客戶機)，作為服務器的主機一般會打開一個默認的端口進行監(jiān)聽。如果有客戶機向服務器的這一端口提出連接請求，服務器上的相應程序就會自動運行，來應答客戶機的請求。這個程序被稱為守護進程。以大名鼎鼎的木馬冰河為例，被控制端可視為一臺服務器，控制端則是一臺客戶機，服務端程序G_Server.exe是守護進程，G_Client.exe是客戶端應用程序。

　　為進一步了解木馬，我們來看看它們的隱藏方式，木馬隱藏方法主要有以下幾種：

　　1.)在任務欄里隱藏

　　這是最基本的。如果在windows的任務來歷出現(xiàn)一個莫名其妙的圖標，傻子都會明白怎么回事。在VB中，只要把form的Viseble屬性設置為False，ShowInTaskBar設為False程序就不會出現(xiàn)在任務欄里了。

　　2.)在任務管理器里隱藏

　　查看正在運行的進程最簡單的方法就是按下ctrl+alt+del時出現(xiàn)的任務管理器。如果你按下ctrl+alt+del后可以看見一個木馬程序在運行，那么這肯定不是什么好的木馬。所以，木馬千方百計的偽裝自己，使自己不出現(xiàn)在任務管理器里。木馬發(fā)現(xiàn)把自己設為“系統(tǒng)服務”就可以輕松的騙過去。因此希望通過按ctrl+alt+del發(fā)現(xiàn)木馬是不大現(xiàn)實的。

　　3.)端口

　　一臺機器由65536個端口，你會注意這么多端口么?而木馬就很注意你的端口。如果你稍微留意一下，不難發(fā)現(xiàn)，大多數(shù)木馬使用的端口在1024以上，而且呈越來越大的趨勢。當然也有占用1024以下端口的木馬。但這些端口是常用端口，占用這些端口可能會造成系統(tǒng)不正常。這樣的話，木馬就會很容易暴露。也許你知道一些木馬占用的端口，你或許會經(jīng)常掃描這些端口，但現(xiàn)在的木馬都提供端口修改功能，你有時間掃描65536個端口么?

　　4.)木馬的加載方式隱蔽

　　木馬加載的方式可以說千奇百怪，無奇不有。但殊途同歸，都為了達到一個共同的目的，那就是使你運行木馬的服務端程序。如果木馬不加任何偽裝。就告訴你這是木馬，你會運行它才怪呢。而隨著網(wǎng)站互動化進程的不斷進步，越來越多的東西可以成為木馬的傳播介質(zhì)，javas cript、VBs cript、ActiveX、XLM……..幾乎www每一個新功能都會導致木馬的快速進化。

　　5.)木馬的命名

　　木馬服務端程序的命名也有很大的學問。如果你不做任何修改的話，就使用原來的名字。誰不知道這是個木馬程序呢?所以木馬的命名也是千奇百怪。不過大多是改為和系統(tǒng)文件名差不多的名字，如果你對系統(tǒng)文件不夠了解，那可就危險了。例如有的木馬把名字改為window.exe，如果不告訴你這是木馬的話，你敢刪除么?還有的就是更改一些后綴名，比如把dll改為dl等，你不仔細看的話，你會發(fā)現(xiàn)么?

　　6.)最新隱身技術(shù)

　　目前，除了以上所常用的隱身技術(shù)，又出現(xiàn)了一種更新、更隱蔽的方法。那就是修改虛擬設備驅(qū)動程序(vxd)或修改動態(tài)連接庫(DLL)。這種方法與一般方法不同，它基本上擺脫了原有的木馬模式—監(jiān)聽端口，而采用替代系統(tǒng)功能的方法(改寫vxd或DLL文件)，木馬會將修改后的DLL替換系統(tǒng)已知的DLL，并對所有的函數(shù)調(diào)用進行過濾。對于常用的調(diào)用，使用函數(shù)轉(zhuǎn)發(fā)器直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL,對于一些事先約定好的特種情況，DLL會執(zhí)行一些相應的操作。實際上這樣的木馬多只是使用DLL進行監(jiān)聽，一旦發(fā)現(xiàn)控制端的連接請求就激活自身，綁在一個進程上進行正常的木馬操作。這樣做的好處是沒有增加新的文件，不需要打開新的端口，沒有新的進程，使用常規(guī)的方法監(jiān)測不到它，在正常運行時木馬幾乎沒有任何癥狀，而一旦木馬的控制端向被控制端發(fā)出特定的信息后，隱藏的程序就立即開始運作。

　　三、木馬防范工具

　　防范木馬可以使用防火墻軟件和各種反黑軟件，用它們筑起網(wǎng)上的馬其諾防線，上網(wǎng)會安全許多。

　　網(wǎng)上防火墻軟件很多，推薦使用“天網(wǎng)防火墻個人版”。它是一款完全的免費的軟件，安裝成功后，它就變成一面盾牌圖表縮小到任務來的系統(tǒng)托盤里，并時刻監(jiān)視黑客的一舉一動，當有黑客入侵時，它就會自動報警，并顯示入侵者的IP地址。

　　用鼠標雙擊盾牌圖標，就會彈出天網(wǎng)的控制臺，控制臺上有“普通設置”、“高級設置”、“安全設置”、“檢測”和“關于”五個標簽。單擊“普通設置”標簽，會看到有局域網(wǎng)安全設置和互聯(lián)網(wǎng)安全設置兩個窗口。我們可以通過拖動滑塊來分別設置他們的安全級別等級。在此建議普通用戶選擇“中”(關閉了所有的TCP端口服務，但UDP端口服務還開放著，別人無法通過端口的漏洞來入侵，它阻擋了幾乎所有的藍屏攻擊和信息泄漏問題，并且不會影響普通網(wǎng)絡軟件的使用)

　　在控制臺上點“高級設置”就可以手工選擇是否取消“與網(wǎng)絡連接”“ICMP”、“IGMP”、“TCP監(jiān)聽”、“UDP監(jiān)聽”和“NETBIOS”這幾個選項。如果上網(wǎng)后有人想連接你的電腦，天網(wǎng)防火墻會將其自動攔截，并告警提示，同時在控制臺的“安全紀錄”里會將連接者的IP，協(xié)議，來源端口，防火墻采取的操作，時間記錄等攻擊信息顯示出來。

　　在控制臺的“檢測”、“關于”標簽里主要有安全漏洞的說明，防火墻軟件的版本號、注冊人的號碼等信息。如果你受到攻擊想立刻斷開網(wǎng)絡，點一下控制臺上的“停”就可以了。

　　四、木馬的查殺

　　木馬的查殺，可以采用自動和手動兩種方式。最簡單的刪除木馬的方法是安裝殺毒軟件(自動)，現(xiàn)在很多殺毒軟件能刪除網(wǎng)絡最猖獗的木馬，建議安裝金山毒霸或安全之星XP，它們在查殺木馬方面很有一套!

　　由于殺毒軟件的升級多數(shù)情況下慢于木馬的出現(xiàn)，因此學會手工查殺非常必要。方法是：

　　1.)檢查注冊表

　　看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以“Run”開頭的鍵值名，其下有沒有可疑的文件名。如果有，就需要刪除相應的鍵值，再刪除相應的應用程序。

　　2.)檢查啟動組

　　木馬們?nèi)绻[藏在啟動組雖然不是十分隱蔽，但這里的確是自動加載運行的好場所，因此還是有木馬喜歡在這里駐留的。啟動組對應的文件夾為：C:\windows\startmenu\programs\startup，在注冊表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell

　　FoldersStartup="C:\windows\startmenu\programs\startup"。要注意經(jīng)常檢查這兩個地方哦!

　　3.)Win.ini以及System.ini也是木馬們喜歡的隱蔽場所，要注意這些地方

　　比方說，Win.ini的[Windows]小節(jié)下的load和run后面在正常情況下是沒有跟什么程序的，如果有了那就要小心了，看看是什么;在System.ini的[boot]小節(jié)的Shell=Explorer.exe后面也是加載木馬的好場所，因此也要注意這里了。當你看到變成這樣：Shell=Explorer.exewind0ws.exe，請注意那個wind0ws.exe很有可能就是木馬服務端程序!趕快檢查吧。

　　4.)對于下面所列文件也要勤加檢查，木馬們也很可能隱藏在那里

　　C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。

　　5.)如果是EXE文件啟動，那么運行這個程序，看木馬是否被裝入內(nèi)存，端口是否打開。

　　如果是的話，則說明要么是該文件啟動木馬程序，要么是該文件捆綁了木馬程序，只好再找一個這樣的程序，重新安裝一下了。

　　6.)萬變不離其宗，木馬啟動都有一個方式，它只是在一個特定的情況下啟動

　　所以，平時多注意一下你的端口，查看一下正在運行的程序，用此來監(jiān)測大部分木馬應該沒問題的。只要我們能夠提高自身的素質(zhì)，加強網(wǎng)絡安全意識，遠離木馬是完全可能的，沒準你也能成為木馬查殺高手呢!
看了“電腦木馬介紹”文章的還看了：

1.電腦病毒木馬防治介紹

2.黑客泄露電腦病毒木馬介紹

3.電腦病毒木馬藏于錄取通知書介紹

4.電腦中了電腦病毒木馬解決方法介紹

5.電腦病毒木馬